Apple 補丁積極利用 iOS 15 中的零日漏洞

就在幾週前,Apple 將其移動 iOS 的版本號增加到 15.0。現在該公司發布了第二個補丁,將版本號提高到 15.0.2,並修復了據稱已被廣泛利用的代碼中的漏洞。

零日漏洞記錄在 CVE-2021-30883 句柄下,並影響名為 IOMobileFrameBuffer 的內核擴展。該擴展通常用於與移動設備上的屏幕幀緩衝區一起使用。然而,零日漏洞允許惡意行為者使用提升的內核權限執行自定義代碼,這使其成為一個重大危險。

與往常一樣,我們敦促所有 Apple 設備用戶更新到最新版本,以避免使用已知漏洞進行攻擊的任何潛在風險。 Apple 承認該漏洞已被報告為在野外被積極利用,並在官方更新公告中簡短地描述了具體細節,並解釋說“應用程序可能能夠以內核權限執行任意代碼”。

一位名叫 Saar Amar 的安全研究人員發布了一份關於允許提升特權代碼執行的漏洞的詳細技術檢查。該研究是在 Amar 對最新的 Apple 補丁進行逆向工程並設置概念驗證以觸發該錯誤之後進行的。

Apple 的 iOS 15.0 版本專注於安全和隱私改進,為操作系統引入了幾個重要的新功能。其中第一個是 Apple 命名的郵件隱私保護。該技術旨在提高用戶在其郵件收件箱中的隱私級別,並限制信息暴露於電子郵件營銷平台。這應該會改善您的收件箱中的隱私性和針對性較低的廣告。

另一個重要功能是引入了原生 iOS 多因素身份驗證應用程序,當站點或服務需要 MFA 時,無需下載和安裝第三方應用程序。集成意味著用戶永遠不需要擺弄 MFA 代碼,因為一旦正確設置,集成的 Apple 應用程序將負責自動輸入它們。